Opća uredba o zaštiti podataka (poznatija pod akronimom GDPR) je obvezujući zakonodavni akt koji se izravno u cijelosti primjenjuje u Republici Hrvatskoj i u ostalim državama članicama Europske unije od 25. svibnja 2018. godine.

Cilj Opće uredbe o zaštiti podataka je zaštititi osobne podatke fizičkih osoba, pružiti kontrolu građanima nad njihovim osobnim podacima te stvoriti visoku i ujednačenu razinu zaštite osobnih podataka u Europskoj uniji.

Opća Uredba o zaštiti podataka određuje koja su prava pojedinaca, a u skladu s tim i koje su obveze subjekata koji obrađuju osobne podatke. Opću uredbu o zaštiti podataka dužni su primjenjivati svi poslovni subjekti i pojedinci koji obavljaju određenu aktivnost prikupljanja i/ili obrade osobnih podataka, primjerice; banke, bolnice, osiguravajuća društva, hoteli, turističke i marketinške agencije, udruge, društvene mreže, ali i fizičke osobe kad obrađuju osobne podatke izvan okvira isključivo osobne ili kućne aktivnosti te ako je  ista povezana s profesionalnom ili komercijalnom djelatnošću. Tijela javne vlasti dužna su obrađivati osobne podatke u okviru odredbi Opće uredbe, osim u slučajevima kaznenopravnih aktivnosti, poput sprečavanja kaznenih djela ili progona počinitelja istih te u područjima izvan nadležnosti prava EU-a.

Zakon o provedbi Opće uredbe o zaštiti podataka („Narodne novine“, broj 42/18) stupio je na snagu 25. svibnja 2018. godine te se njime osigurava provedba Opće uredbe o zaštiti podataka. Ovim Zakonom uređuju se pojedina pitanja vezana za primjenu Opće uredbe o zaštiti podataka, a posebno: nadzorno tijelo, akreditacijsko tijelo, obrada osobnih podatka u posebnim slučajevima vezano za privole djeteta u odnosu na usluge informacijskog društva, obrade genetskih podataka, obrada biometrijskih podataka, obrada osobnih podatka putem videonadzora, obradu osobnih podataka u statističke svrhe, postupci koje primjenjuje nadzorno tijelo tijekom nadzora i pravni lijekovi protiv odluka nadzornog tijela.

Prema Općoj uredbi o zaštiti podataka, ispitanik je fizička osoba čiji se identitet može utvrditi izravno ili neizravno, posebno na osnovi jednog ili više obilježja specifičnih za njegov fizički, psihološki, mentalni, gospodarski, kulturni ili socijalni identitet.

Identitet pojedinca znači njegovu istovjetnost koja se na osnovi oznaka koje ga karakteriziraju (dob, spol, rasa) izdvaja od ostalih građana. Identitet se najčešće utvrđuje uvidom u javne isprave, ali se može obaviti i na drugi način. Tako primjerice oznaka fizičke osobe je ime i prezime, a njezin se identitet utvrđuje npr. uvidom u osobnu iskaznicu ili putovnicu.

Svi smo mi u određenom trenutku ‘ispitanici’ (GDPR terminologijom oni čiji se osobni podaci obrađuju), bilo da se naši osobni podaci obrađuju u okviru radnog mjestu, u školi, na internetu, u zdravstvenim ordinacijama, na društvenim mrežama, u kozmetičkim salonima, u bankama i drugdje.

Agencija za zaštitu osobnih podataka je samostalno i neovisno tijelo koje nadzire provedbu Uredbe (EU) 2016/679 Europskog parlamenta i Vijeća od  27. 04. 2016. o zaštiti pojedinaca u vezi s obradom osobnih podataka (Opće uredbe o zaštiti podataka) i obavlja poslove u okviru djelokruga i nadležnosti utvrđenih Zakonom o provedbi Opće uredbe o zaštiti podataka („Narodne novine“, broj 42/18) kojim se osigurava provedba Opće uredbe o zaštiti podataka.

Sukladno Općoj uredbi o zaštiti podataka, Agencija ima savjetodavne, korektivne i istražne ovlasti.

Zaštita osobnih podataka nije apsolutno pravo već pravo koje se treba balansirati s drugim pravima. Stoga, Opća uredba o zaštiti podataka pruža mehanizam za uvažavanje i balansiranje između prava na zaštitu podataka i drugih prava.

Na taj način, na temelju prava EU-a ili nacionalnog prava voditelj ili izvršitelj obrade mogu ograničiti opseg prava ispitanika ako se takvim ograničenjem poštuje bit temeljnih prava i sloboda te ono predstavlja nužnu i razmjernu mjeru u demokratskom društvu za zaštitu značajnih vrijednosti poput nacionalne sigurnosti, obrane, javne sigurnosti, drugih važnih ciljeva od općeg javnog interesa EU-a ili države članice, zaštite neovisnosti pravosuđa itd.

Primjerice, političar ne može zatražiti brisanje informacija o sebi koje je dao u okviru svog politčkog djelovanja odnosno u tom slučaju prevladava javni interes za pristup informaciji.

Obrada obuhvaća radnje poput prikupljanja, bilježenja, uporabe, korištenja, čuvanja, obavljanja uvida, otkrivanja trećim stranama, prenošenja ili uništavanja osobnih podataka. Primjerice obradom osobnih podataka smatra se već i sama pohrana datoteke s popisom klijenata, njihovim imenima i prezimenima, e-mail adresama u digitalnom ili papirnatom obliku. Banka čiji ste klijent obrađuje Vaše osobne podatke, Vaš poslodavac, Vaš liječnik, društvena mreža na kojoj imate profil, teretana čiji ste član, trgovačko društvo kod kojeg ste se učlanili u program vjernosti itd.

Vaše osobne podatke obrađuju voditelji i izvršitelji obrade odnosno to mogu biti fizičke ili pravne osobe, tijelo javne vlasti,  društvo, organizacija, poduzeća. Izvršitelji obrade obrađuju osobne podatke u ime voditelja obrade, a obrada koju provode izvršitelji obrade uređuje se ugovorom s voditeljem obrade ili drugim pravnim aktom.

Primjeri voditelja obrade: trgovačka društva ili obrti koji obrađuju podatke svojih radnika i/ili klijenata tj. korisnika usluga; financijske institucije koje obrađuju osobne podatke svojih stranaka/klijenata; udruge koje obrađuju podatke svojih članova; škole ili fakulteti koji obrađuju osobne podatke učenika, studenata ili nastavnika/svojih radnika; bolnice koje obrađuju osobne podatke svojih pacijenata; državna tijela ili tijela jedinica lokalne/regionalne samouprave koja obrađuju osobne podatke građana. Voditelji obrade mogu biti i fizičke osobe, primjerice iznajmljivači apartmanskog smještaja.

Primjeri izvršitelja obrade: knjigovodstveni servis koji obrađuje podatke o plaćama radnika za poslodavca;  trgovačka društva ovlaštena za obavljanje privatne zaštite.

U digitalno doba u kojem živimo zaštita osobnih podataka je važnija nego ikad prije. U proteklih dvadesetak godina drastično se ubrzao protok podataka, a količine podataka koji se svakodnevno generiraju mjere se u terabajtima. Ujedno, značajno se povećao opseg prikupljanja osobnih podataka, a samim time pojavili su se novi izazovi u zaštiti osobnih podataka.

Vaši osobni podaci u nekoj mjeri obrađuju se svakodnevno u različitim situacijama kao što su primjerice: kad objavljujete osobne podatke na društvenim mrežama, prilikom prijave na natječaj za posao, prilikom korištenja internetskih stranica i digitalnih usluga, internetskog bankarstva, obrađuju se prilikom odlaska u bolnicu, banku, trgovački lanac, školu,  knjižnicu, na posao itd.

Gospodarska i društvena integracija proizašla iz uspostave jedinstvenog digitalnog tržišta rezultirala je povećanim prekograničnim protokom podataka te intenzivnom razmjenom osobnih podataka između javnih i privatnih dionika. Podaci su u konačnici postali pokretač  podatkovnog gospodarstva, dobro s kojim se trguje, a informacija središnja vrijednost digitalnog društva.

Gospodarski subjekti obrađuju osobne podatke prvenstveno u svrhu ostvarivanja i povećanje profita. Kako bi neko poduzeće moglo isporučiti određenu robu/uslugu kupcu, posve je razumljivo da u tu svrhu raspolaže s osobnim podacima kupca kao što su primjerice e-mail, telefon i adresa.

Također, gospodarski subjekti kontinuirano nude svoje proizvode postojećim, ali i novim potencijalnim kupcima pa obrađuju osobne podatke u marketinške svrhe, a u tom slučaju pojedinci uvijek mogu zahtijevati od tvrtke prestanak takve obrade osobnih podataka.

Pored navedenog gospodarski subjekti obrađuju osobne podatke svojih zaposlenika, što je uređeno i propisima o radu kao posebnim propisima, ali i dobavljača ako su oni fizičke osobe

Novi pojam s kojom se susrećemo u digitalno doba je monetizacija podataka pod kojim podrazumijevamo korištenje alata za prediktivnu analitiku u svrhu povećanja prihoda ili prodaju podataka.

Obrada je zakonita samo ako i u onoj mjeri u kojoj je ispunjeno najmanje jedno od sljedećega:

• ako je ispitanik (građanin) dao privolu za obradu svojih osobnih podataka u jednu ili više posebnih svrha. Uredbom se među ostalim utvrđuje da uvjet dobrovoljnosti nije ispunjen ako ispitanik nema istinski ili slobodan izbor ili ako nije u mogućnosti odbiti ili povući privolu bez posljedica (npr.  privola se daje radi uvrštenja potrošača u neki program vjernosti, dok je u velikoj većini radnopravnih odnosa nemoguće koristiti privolu kao pravnih temelj za obradu podataka radnika)
• obrada je nužna za izvršavanje ugovora u kojem je ispitanik (građanin) stranka ili kako bi se poduzele radnje na zahtjev ispitanika prije sklapanja ugovora (npr. obrada podataka tražitelja posla radi pozivanja na testiranje, obrada podataka osiguranika radi izvršenja ugovora o osiguranju ili sklapanje pretplatničkog ugovora za korištenje usluga teleoperatera)

• obrada je nužna radi poštovanja pravnih obveza voditelja obrade (npr. slanje podataka o radnicima HZZO-u ili HZMO-u ili slanje podataka stranaka od strane javnog bilježnika Poreznoj upravi sukladno posebnim propisima)
• obrada je nužna kako bi se zaštitili životno važni interesi ispitanika (građanina) ili druge fizičke osobe; obrada je nužna za izvršavanje zadaće od javnog interesa ili pri izvršavanju službene ovlasti voditelja obrade (npr. otkrivanje od strane nadležnih tijela podataka jednog roditelja drugomu radi uzdržavanja djeteta, otkrivanje osobnih podataka ounesreće osobe Hrvatskoj gorskoj službi spašavanja)
• obrada je nužna za potrebe legitimnih interesa voditelja obrade (poduzeća/tvrtke/ organizacije) ili treće strane, osim kada su od tih interesa jači interesi ili temeljna prava i slobode ispitanika koji zahtijevaju zaštitu osobnih podataka, osobito ako je ispitanik dijete (npr. legitimni interes vlasnika nekretnine da postavi sustav videonazora da zaštitio svoju imovinu).

Građanin prilikom davanja svojih osobnih podataka voditelju ili izvršitelju obrade (društvu, poduzeću, tvrtki, državnom tijelu) mora biti svjestan svojih prava i biti na oprezu kako ne bi došlo do zlouporabe osobnih podataka. Osobni podaci smiju se prikupljati i obrađivati u samo točno definiranu svrhu i u mjeri kojoj je to nužno. Kada organizacija/društvo/državno tijelo prikuplja vaše podatke, imate pravo znati u koju svrhu ih prikuplja i na kojem pravnom osnovu.

Zlouporabu tuđih osobnih podataka netko čini u svrhu nanošenja drugom štete (povreda ugleda i časti, povreda privatnosti).

Osobni podaci mogu se zloupotrijebiti u svrhu počinjenja nekih kaznenih djela, npr. prijevare ili netko iskoristi tuđe osobne podatke u svrhu pribavljanja protupravne koristi, npr. korištenje tuđih osobnih podataka u svrhu sklapanja lažnih ugovora.

 Jedan od načina zlouporabe osobnih podataka s najozbiljnijim posljedicama za pojedinca je krađa identiteta. Krađu identiteta definiramo kao radnju kojom netko koristi (prikuplja obrađuje) tuđe osobne podatke (fizičkih osoba) protivno zakonu. Osim što predstavlja povredu privatnosti (npr. otvaranje lažnog Facebook profila, lažno predstavljanje) ujedno je i kazneno djelo za koje je predviđena i kazna zatvora do godinu dana (za osnovni oblik tog djela). 

PRIMJER: osoba A. otvori lažni Facebook profil osobe B. , objavi pri tom fotografiju osobe B, njene osobne podatke – kojima raspolaže, ime, prezime, dob itd. i potom objavljuje neadekvatan i/ili vulgaran sadržaj na FB profilu koji osobu B. prikazuje u negativnom svijetlu. 

PRIMJER: osoba A. koristi osobne podatke osobe B. u svrhu sklapanja “lažnog” ugovora s nekim teleoperaterom, predstavljajući se kao osoba B., sklopi u njeno ime, a u svoju korist ugovor o pribavljanju broja i mobilnog uređaja, napravi račun koji ne podmiruje, a teret dugovanja padne na osobu B. koja sa spomenutim ugovorom nema nikakve veze budući je isti lažno sklopljen korištenjem njenih osobnih podataka.

Pojedince se može navesti da dostave svoje osobne podatke npr. lažno ih se uvjerava da su osvojili veliko nasljedstvo ili da su osvojili nagradu na nagradnoj igri, a sve u svrhu stjecanja protupravne koristi.

 PRIMJER: osoba je na društvenoj mreži dobila obavijest od organizatora nagradne igre da je dobitnik na nagradnoj igri. Kako bi mogla preuzeti nagradu, mora dostaviti presliku prednje i stražnje strane svoje osobne iskaznice. Preslika osobne iskaznica je potom zloupotrijebljena za sklapanje lažnog pretplatničkog ugovora na daljinu.

Također, povrede prava na zaštitu osobnih podataka često se odnose na: objavu osobnih podataka u medijima, objavu osobnih podataka na oglasnoj ploči stambene zgrade, dostave medicinske dokumentacije neovlaštenim osobama, obradu osobnih podataka postavljanjem videonadzomog sustava u zajedničkim prostorijama višestambenih zgrada bez valjanog pravnog temelja, obradu osobnih podataka videonadzornim kamerama u poslovnim prostorijama poslodavaca u svrhu kontrole ulaska u poslovni prostor i nadziranja procesa rada, netočno vođenje osobnih podataka o korisnicima usluga u ovršnim postupcima u svrhu naplate usluga tj. obrada tuđeg OIB-a ili broja identifikacijskog dokumenta kod osoba istog imena i prezimena koji dovodi do netočne identifikacije dužnika i zamjene identiteta osoba, davanje na korištenje osobnih podataka drugim korisnicima bez pravne osnove kao što je primjerice dostava OIB-a suvlasnika potencijalnim upraviteljima zgrade, nepoduzimanje odgovarajućih mjera zaštite osobnih podataka koje banke vode o svojim klijentima od neovlaštenog pristupa i uporabe itd.

S pojavom monetizacije podataka i razvojem podatkovnog gospodarstva, pojavljuju se i novi oblici povrede prava na zaštitu osobnih podataka.

PRIMJER: na prvi pogled vrijednost podataka koji otkrivaju sadržaj koji osoba označava sa „sviđa mi se“ na društvenoj mreži ne čini  se pretjerano značajna. Međutim, ako se ti naoko bezvrijedni podaci upare s drugim osobnim podacima, mogu poslužiti za izradu profila pojedinca, prepoznavanje njegovih npr. političkih preferencija, ciljano oglašavanje u svrhu širenja lažnih vijesti i dezinformacija i/ili utjecaja na misli i postupke pojedinaca. Tako  je primjerice moguće navesti osobu da glasa za određenu političku stranku slanjem ciljanih poruka putem društvenim mreža koje su posebno prilagođene toj osobi na temelju izrađenog profila. Moguće povreda prava na zaštitu osobnih podataka u ovom kontekstu mogu utjecati na druga temeljna prava, kao što su sloboda izražavanja i sloboda mišljenja. Uporaba takvih tehnika obrade podataka u političke svrhe predstavlja ozbiljan rizik, ne samo za prava na privatnost i zaštitu podataka, već i za povjerenje u integritet demokratskog procesa.

Općenito govoreći, izrada profila podrazumijeva prikupljanje informacija o pojedincu (ili skupini pojedinaca) i procjenu njihovih obilježja ili obrazaca ponašanja kako bi ih se razvrstalo u određenu kategoriju ili skupinu, a osobito kako bi se analiziralo i/ili predvidjelo, primjerice: njihovu sposobnost za izvršavanje određene zadaće, njihove interese ili njihovo vjerojatno ponašanje

U Općoj uredbi o zaštiti podataka navodi se da je izrada profila automatizirana obrada osobnih podataka za ocjenu osobnih aspekata, osobito za analizu ili predviđanja o pojedincima. Upotreba riječi „ocjenjivanje” upućuje na to da izrada profila uključuje neki oblik procjene ili prosudbe o nekoj osobi.

Automatizirane odluke mogu se donositi s pomoću izrade profila ili bez nje, a izrada profila može se provoditi bez donošenja automatiziranih odluka. Međutim, izrada profila i automatizirano donošenje odluka nisu nužno odvojene aktivnosti. Nešto što počne kao jednostavan postupak automatiziranog donošenja odluka može se pretvoriti u postupak koji se temelji na izradi profila, ovisno o tome kako se ti podaci koriste. Isključivo automatizirano donošenje odluka sposobnost je donošenja odluka tehnološkim sredstvima bez sudjelovanja ljudi, primjerice kad banke koriste računalne algoritme koji  „odlučuju“ može li pojedincu biti odobren kredit ili ne.

Primjer: Posrednik podataka (eng. data broker) u ime svojih klijenata ili za vlastite potrebe prikuplja podatke iz različitih javnih i privatnih izvora kako bi izradio profile o pojedincima i razvrstava ih u određene kategorije u skladu s njihovim interesima. Te profile prodaje poduzeću koje potom ciljano oglašava svoje robe i usluge na društvenim mrežama točno određenoj kategoriji kupaca za koje smatraju da će biti zainteresirani za kupnju (npr. prikazivanje oglasa za luksuzne muške satove muškarcima u dobi od 35-60 godina više platežne moći).

Kršenje sigurnosti osobnih podataka koje dovodi do slučajnog ili nezakonitog uništenja, gubitka, izmjene, neovlaštenog otkrivanja ili pristupa osobnim podacima koji su preneseni, pohranjeni ili na drugi način obrađivani.

PRIMJER: Djelatniku društva xy na godišnjem odmoru ukradeno je prijenosno računalo na kojem su se nalazili osobni podaci kupaca (ime, prezime, broj tel., e-mail, OIB, preslike osobnih iskaznica). Računalo nije bilo zaštićeno lozinkom niti su podaci enkriptirani ili zaštićeni na ikakav način. Osobni podaci postali su dostupni trećim stranama koje ih mogu zloupotrijebiti.

Da biste ostvarili svoja prava, trebate se obratiti društvu ili organizaciji koja obrađuje vaše osobne podatke, odnosno voditelju/izvršitelju obrade. Društvo/organizacija na vaš zahtjev mora odgovoriti bez nepotrebna odgađanja, a najkasnije u roku od 30 dana. Ako društvo/organizacija ne želi udovoljiti vašem zahtjevu, mora navesti valjani razlog.

Primjerice ako želite pristup svojim osobnim podacima s kojima raspolaže banka čiji ste klijent, obratite se banci pisanim putem. 

Ako želite da primjerice knjižnica čiji više niste član, izbriše Vaše podatke, obratite se knjižnici, ako ne želite više primati promotivne materijale trgovačkog društva na čijoj ste listi primatelja takvog sadržaja, obratite se pisanim putem tom trgovačkom društvu, ako želite da Google ukloni informacije o Vama iz rezultata pretraživanja, obratite se Google-u.

Ukoliko voditelj obrade nije udovoljio Vašem zahtjevu, a smatrate da Vam je povrijeđeno pravo na zaštitu osobnih podataka, obratite se Agenciji za zaštitu osobnih podataka sa zahtjevom za utvrđivanje povrede prava link na zahtjev za utvrđivanje povrede prava

Detaljne informacije što možete učiniti u slučaju ako je netko povrijedio Vaše pravo na zaštitu osobnih podataka, sumnjate u zakonitost obrade Vaših osobnih podataka ili želite ostvariti svoja prava iz Opće uredbe o zaštiti podataka i Zakona o provedbi Opće uredbe o zaštiti podataka, možete doznati na Zahtjev za utvrđivanje povrede prava

Ako društvo ili organizacija nije poštovala pravila o zaštiti osobnih podataka te ako ste pretrpjeli materijalnu štetu  (primjer: financijski gubitak) ili nematerijalnu štetu (primjer: nepriliku ili gubitak ugleda) možete tražiti naknadu štete. Naknadu možete tražiti od društva ili organizacije  koje je povrijedilo Vaša prava ili pred nadležnim sudom. Naknadu možete tražiti pred sudovima države članice EU-a u kojoj voditelj obrade ili izvršitelj obrade ima poslovni nastan.

U Općoj uredbi o zaštiti podataka djeca su prepoznata kao osobito ranjiva skupina jer ne mogu adekvatno raspolagati sa svojim osobnim podacima, budući da često nisu svjesna opasnosti kojima se izlažu prilikom neopreznog upravljanja svojim osobnim podacima. Iz tog razloga djeca koja su mlađa od 16 godina mogu koristiti određene internetske usluge i servise za koje je potrebno dati osobne podatke isključivo uz pristanak roditelja tj. zakonskih zastupnika (skrbnika). Privola nositelja roditeljske odgovornosti nije nužna „u kontekstu preventivnih usluga ili usluga savjetovanja koje su ponuđene izravno djetetu” . Informacije i komunikacija, u slučaju da je obrada usmjerena prema djetetu, trebale bi biti na jasnom i jednostavnom jeziku koji dijete lako može razumjeti.

U digitalno doba u kojem živimo, posebnu pažnju treba usmjeriti na edukaciju djece o opasnostima koje im prijete u virtualnom svijetu odnosno prilikom korištenja interneta, različitih aplikacija i društvenih mreža jer djeca su najizloženija određenim negativnim učincima koji se mogu javiti prilikom njihove upotrebe, poput internetskih prijevara, elektroničkog nasilja (engl. cyberbullying), uhođenja putem interneta, seksualnog iskorištavanja ili krađe identiteta.

Agencija naglašava da djeca ne bi smjela prihvaćati prijateljstva na društvenim mrežama osoba koje ne poznaju u stvarnom svijetu, a pogotovo je opasno kad s nepoznatim osobama razmjenjuju svoje osobne podatke, naročito one vrlo osobne i intimne prirode koje u rukama krivih osoba (pedofila, ucjenjivača, malicioznih pojedinaca) mogu postati moćno sredstvo za ucjenjivanje i prijetnju. 

Link na Edukativni film snimljen s ciljem dizanja razine svijesti o zaštiti osobnih podataka https://www.youtube.com/watch?v=heIuQUASpGc

Određeni neprikladni sadržaji na internetu predstavljaju permanentno nasilje jer jednom objavljeni sadržaj koji je postao globalno dostupan širi se virtualnim prostorom velikom brzinom te ga je vrlo teško ukloniti i spriječiti njegovo širenje. Nažalost, posljednjih godina svjedoci smo i pojave nove vrste elektroničkog nasilja sa najtragičnijim posljedicama- cyberbullycide-a.

Virtualnost postaje stvarnost djece i mladih, a uz sve benefite koje nosi, također donosi i mnogobrojne rizike. Do smanjenja zloupotrebe osobnih podataka može doći jedino osnaživanjem odgovornog ponašanja u čemu trebaju sudjelovati sve institucije i osobe koje sudjeluju u djetetovu odgoju.

Za uspostavu videonadzornog sustava u stambenom objektu/zgradi potrebna je suglasnost suvlasnika koji čine najmanje 2/3 suvlasničkih dijelova. Dakle, ako Vaš susjed nije zatražio suglasnost suvlasnika zgrade, odnosno nije dobio suglasnost suvlasnika koji čine najmanje 2/3 suvlasničkih dijelova, u tom slučaju isti nije smio postaviti videonadzorni sustav koji snima zajedničku garažu.

Vezano uz snimanje javne površine važno je napomenuti da fizička osoba, u konkretnom slučaju Vaš susjed ne smije snimati istu, što je jasno propisano Zakonom o prevedbi Opće uredbe o zaštiti podataka.

Za postavljanje videonadzornog sustava nije potrebno tražiti dopuštenje Agencije za zaštitu osobnih podataka, međutim potrebno je ispuniti sve uvjete koji su propisani Općom uredbom o zaštiti podataka i Zakonom o provedbi Opće uredbe o zaštiti podataka. Saznajte više na: Videonadzor

Prvi korak kojim bio bi traženje suglasnosti drugih suvlasnika za postavljanje videonadzornog sustava, odnosno susjeda ukoliko bi videonadzorni sustav zahvaćao prostor u njihovom vlasništvu. Ujedno je potrebno označiti da je objekt, odnosno pojedina prostorija pod videonadzorom, putem pisane obavijesti koja treba biti vidljiva najkasnije prilikom ulaska u perimetar snimanja i koja mora sadržavati informacije o voditelju obrade, podatke za kontakt i dr. Predložak obavijesti o videonadzoru

Vrlo je bitno da kod podnošenja zahtjeva za pristup svojim osobnim podacima bilo kojem voditelju obrade pa tako i banci objasnite da želite ostvariti pristup osobnim podacima koji se odnose na Vas te da želite i informacije ako se osobni podaci obrađuju, podatak o svrsi obrade Vaših osobnih podataka, roku pohrane, iznošenju u treće zemlje itd; kao i informaciju o tome jesu li i prije bili obrađivani Vaši osobni podaci i u koju svrhu. Voditelj obrade ima pravo odbiti Vaš zahtjev ako je zahtjev pretjeran ili neutemeljen. Društvo/organizacija na Vaš zahtjev mora odgovoriti bez nepotrebna odgađanja, a najkasnije u roku od 30 dana.

Ako društvo/organizacija ne želi udovoljiti vašem zahtjevu, mora navesti valjani razlog. Ukoliko voditelj obrade nije udovoljio Vašem zahtjevu, a smatrate da Vam je povrijeđeno pravo na zaštitu osobnih podataka, obratite se Agenciji za zaštitu osobnih podataka sa zahtjevom za utvrđivanje povrede prava. 

Poslodavac ima obvezu omogućiti alternativnu metodu evidencije radnog vremena za sve one radnike koji nisu dali privolu za biometrijsko evidentiranje radnog vremena manje invazivnim metodama (primjerice: evidentiranje radnog vremena magnetskom karticom, evidentiranje radnog vremena upisivanjem u knjigu dolazaka i odlazaka), jer bi se inače privola mogla smatrati uvjetovanom imajući u vidu specifičan odnos između radnika i poslodavca.

Ako društvo/organizacija ne želi udovoljiti vašem zahtjevu, mora navesti valjani razlog. Ukoliko voditelj obrade nije udovoljio Vašem zahtjevu, a smatrate da Vam je povrijeđeno pravo na zaštitu osobnih podataka, obratite se Agenciji za zaštitu osobnih podataka sa zahtjevom za utvrđivanje povrede prava. 

Poslodavac može izvršiti uvid u poslovnu e-poštu kako bi zaštitio određena prava i interese i kako bi se zaštitio od mogućih nezakonskih poteza zaposlenika. No, u takvim slučajevima mora postojati ravnoteža između interesa poslodavca i prava na privatnost zaposlenika, odnosno prije mora zadovoljiti određene uvjete. Samo iznimne okolnosti (primjerice; sigurnosni incidenti, povreda radne dužnosti, odavanje poslovnih informacija konkurentu, sumnja na mobbing) mogu opravdati uvođenje nadzora sadržaja elektroničke komunikacije zaposlenika, ako vrijednost dobra koje se želi zaštititi spomenutim nadzorom i stupanj ugroze koji mu prijeti prevladava nad pravom na zaštitu privatnosti.

Uvažavajući specifičnosti radnog odnosa između zaposlenika i poslodavca traženje privole zaposlenika/potencijalnih zaposlenika bilo bi samo forma, a izostanak privole mogao bi dovesti zaposlenike u neravnopravan položaj. Nadzor elektroničke pošte mogu opravdati samo iznimne okolnosti i u slučaju uvođenja takvog nadzora isti je nužno detaljno propisati internim aktom.

Poslodavac ima pravo instalirati sustave za nadzor i kontrolu službenih automobila bez odobrenja zaposlenika jedino onda kada je to nužno zbog profesionalne prirode posla ili mjera opreza. Najčešće upotrebljavani sustavi za provjeru i kontrolu službenih automobila i vozila za prijevoz putnika i dobara su tahograf i GPS sustavi.

 Kad se takvi sustavi koriste, poslodavac je dužan obavijestiti zaposlenika o njihovom postojanju i uvjetima korištenja. Također, postoji i potreba za reguliranjem uporabe takvih sustava u obliku internih pravila, a podaci mogu biti procesuirani samo u svrhu određenu tim pravilima. Primjeri nužnosti postavljanja takvih sustava uključuje tvrtke koje prevoze robu i putnike, vrše poštanske usluge i sl. Postavljanje takvih sustava omogućava poslodavcu da dobije informacije gdje se vozilo kreće, za praćenje kretanja automobila u slučajevima krađe, potrošnju goriva i sl., a što dovodi do poboljšanja kvalitete poslovanja.

Upotreba podataka dobivenih preko GPS-a u službenom automobilu mora se definirati internim pravilima poslodavca, posebice ako je zaposleniku dopušteno da koristi takav auto u privatne svrhe.

Sukladno Zakonu o zaštiti potrošača, Zakonu o obveznim odnosima, Zakonu o elektroničkim komunikacijama,  potrebno je podnijeti prigovor svim operatorima kod kojih imate spoznaju da su zasnovani pretplatnički odnosi u Vaše ime (te provjeriti kod ostalih operatora je li sklopljen koji ugovor u Vaše ime), a uz koje je potrebno priložiti presliku potvrde prijave kaznenog djela u kojoj je navedena Vaša sumnja na počinjenje kaznenog djela i /ili potvrdu o eventualnom gubitku/krađi osobnog dokumenta (ukoliko ste eventualno izgubili dokument/e). U prigovoru tražite da operator zbog krađe identiteta obustavi naplatu te poništi tako sklopljen ugovor bez štetnih posljedica za Vas. Ujedno, ako ste preuzeli uređaje, iste je potrebno vratiti teleoperatorima. Također, Agenciji za zaštitu osobnih podataka možete podnijeti zahtjev za utvrđivanje povrede prava uz koji je potrebno priložiti svu relevantnu dokumentaciju vezanu za Vaš slučaj.

Potrebno je podnijeti zahtjev za utvrđivanje povrede prava ovoj Agenciji, te dostaviti svu dokumentaciju koju imate odnosnu na predmetni slučaj (preslike ugovora, presliku prijave policiji, ukoliko imate presliku korespondencije sa teleoperaterom, preslike računa) uz opis predmetnog slučaja.

Načelno, s aspekta zaštite osobnih podataka možemo pretpostaviti da je u konkretnom slučaju došlo do greške u obradi osobnih podataka osobe pod istim imenom i prezimenom kao i maloljetnog djeteta, odnosno da je uparen OIB maloljetnog djeteta sa osobom koja je potrošač električne energije.

Agencija za zaštitu osobnih podataka će na temelju podnesenog zahtjeva za utvrđivanje povrede prava provesti nadzorne aktivnosti te utvrditi na koji način je došlo do zamjene identiteta te vode li voditelji obrade brigu o točnosti osobnih podataka u svojim bazama podataka.

Nakon provedenog postupka Agencija će zabraniti voditeljima obrade  daljnju obradu osobnih podataka maloljetnog djeteta u svrhu naplate dugovanja i provođenja ovršnog postupka.

Postoji široki krug ovlaštenika koji imaju pravo prikupljati OIB, primjerice: banka, teleoperateri, plinara, elektra. Međutim, prilikom kupovine proizvoda široke potrošnje, usluga za uljepšavanje i prilikom uzimanja kartice pogodnosti nije uputno davati OIB.

Osobni identifikacijski broj je nekazujuća oznaka koja svojim sadržajem (brojevima) ne otkriva osobne podatke. Međutim, činjenica kako se radi o nekazujućoj oznaci ne utječe na definiciju iste oznake (broja) kao osobnog podatka u smislu Opće uredbe o zaštiti podataka, budući da se isti broj odnosi na određenu fizičku osobu (obveznika istog broja) te se upravo putem istog broja omogućuje nedvojbena identifikacija fizičke osobe u svrhe ostvarivanja određenih prava, vođenja službenih evidencija od strane nadležnih tijela i sl.

Osobni podaci koje kupac daje dobrovoljno prilikom putem pristupnice u svrhu izdavanja kartice pogodnosti smiju se prikupljati samo u nužnom opsegu koji je potreban za ispunjenje posebne, izričite i zakonite svrhe (izdavanje kartice pogodnosti). U suprotnom radi se o prekomjernom prikupljanju osobnih podataka koje nije zakonito.

Preporuka Agencije  je da odbijete davanje preslike osobne iskaznice ili putovnice kad god je moguće te omogućite samo uvid u iste ukoliko je potrebna i neophodna vaša identifikacija.

Svaki voditelj obrade (banka, iznajmljivač apartmana) dužan je odgovoriti Vam minimalno na sljedeća pitanja: Zašto se uzima preslika moje osobne iskaznice? Temeljem kojeg propisa? Kako se čuva preslika moje osobne iskaznice? Jesu li moji osobni podaci na odgovarajući način zaštićeni, s kime se dijele?

 Iznajmljivač apartmana dužan je prikupljati osobne podatke o gostima, ali isključivo za prijavu gostiju u sustav eVisitor, a osobne podatke koji su mu potrebni za navedeno može dobiti isključivo uvidom u osobnu iskaznicu, no istu nema pravo kopirati. Svaka banka dužna je prikupiti presliku osobne iskaznice temeljem zakonskih propisa iz svoje nadležnosti, primjerice prilikom otvaranja tekućeg računa klijenta, te je u obvezi presliku pohraniti u bazu podataka koju vodi.

Načelno, ukoliko ulazite u poslovnu zgradu, misleći pritom na ulazak u zgradu nekog društva (pravne osobe), djelatnik zaštitarske tvrtke ima pravo izvršiti uvid u Vašu osobnu iskaznicu, međutim istu ne smije kopirati.

Člankom 80. Zakona o obveznim odnosima reguliran je ustup potraživanja (cesija) kao pravni posao u kojem se tražbina s jednog vjerovnika može prenijeti na drugog vjerovnika, dok je člankom 82. istog Zakona propisano da za ustup tražbine nije potreban pristanak dužnika, već je ustupitelj tražbine dužan obavijestiti dužnika o ustupanju.

S tim u vezi navodimo da sam ustup tražbine pretpostavlja i dostavljanje (obradu) osobnih podataka, odnosno ustupanje nije provedivo u praksi ako treća strana ne zna prema kome ima svoje novostečeno pravo potraživanja. Dakle, provedba instituta cesije nije moguća bez prosljeđivanja osobnih podataka.

Ako ne želite da Vas trgovci kontaktiraju kako bi Vam prodali neki proizvod ili uslugu, možete tražiti da se Vaš telefonski broj upiše u registar „NE ZOVI“, a isti se vodi pri Hrvatskoj regulatornoj agenciji za mrežne aktivnosti (HAKOM).
Registar “NE ZOVI” je besplatni javni Registar telefonskih brojeva potrošača koji ne žele da ih trgovci kontaktiraju putem telefona ili SMS i MMS poruka u svrhu promidžbe i prodaje, a propisan je Zakonom o zaštiti potrošača.

Brojeve upisuje (ili ispisuje) pojedini operator na zahtjev potrošača (potpisnika ugovora s operatorom) u roku od 7 dana od zaprimanja zahtjeva. HAKOM ne upisuje ili ispisuje brojeve, a nadležan je za postupanje operatora u slučajevima spornih zahtjeva za upis/ispis. 

 Saznajte više na https://www.hakom.hr/default.aspx?id=8391.

Imate pravo usprotiviti se obradi Vaših osobnih podataka u svrhe direktnog marketinga i tražiti trgovca da Vaše kontakt podatke izbriše sa svoje mailing liste i da Vam više ne šalje promidžbene sadržaje.

Ne. Privola je jedan od pravnih temelja za obradu podataka sukladno GDPR-u te ako postoji drugi pravni temelj za obradu (primjerice, pravna obveza ili ugovor) privola nije primjenjiva.

Tako je primjerice, poslodavac  dužan voditi evidenciju o radnicima koji su kod njega zaposleni (članak 5. Zakona o radu NN 93/14, 127/17, 98/19) ili primjerice udruga je obvezna voditi popis svojih članova (članak 12. stavak 3. Zakona o udrugama (Zakon o udrugama NN 74/14, 70/17, 98/19).

Privola je primjenjiva primjerice, kod obrade biometrijskih podataka (primjerice otisak prsta) zaposlenika u svrhu evidentiranja radnog vremena i radi ulaska i izlaska iz službenih prostorija (članak 23. Zakona o provedbi Opće uredbe o zaštiti podataka NN 42/18). Također, privola je primjenjiva kad Vam neki poslovni subjekt želi slati na Vašu email ili kućnu adresu promotivne materijale.

Pravo je ispitanika da u svakom trenutku može povući svoju privolu. Povlačenje privole mora biti jednako jednostavno kao i njezino davanje, a to znači da bi bila dovoljna pisana izjava kojom ispitanik povlači privolu da njegova fotografija bude objavljena na web stranici poduzeća ili da ne želi više primati promotivne materijale.

Potrebno se obratiti društvenoj mreži (kao voditelju obrade) sa zahtjevom za brisanje osobnih podataka iz članka 17. GDPR-a.

Potrebno se obratiti društvenoj mreži (kao voditelju obrade) sa zahtjevom za brisanje osobnih podataka iz članka 17. GDPR-a.

Možete se obratiti internetskom portalu kao voditelju obrade sa zahtjevom za brisanje Vaših osobnih podataka iz članka 17. GDPR-a.

Ukoliko voditelj obrade ne udovolji Vašem zahtjevu,  možete se obratiti Agenciji za zaštitu osobnih podataka sa zahtjevom za utvrđivanjem povrede prava.

Google kao voditelj obrade je dužan poštovati prava pojedinca koja isti ima sukladno GDPR-u. Jedan od prava jest pravo na brisanje (pravo na zaborav). Određeni su slučajevi kada se mora udovoljiti zahtjevu pojednica (primjerice, osobni podaci nezakonito su obrađeni), međutim postoje iznimke od prava na brisanje (primjerice, radi ostvarivanja prava na slobodu izražavanja i informiranja).

Svaka se obrada osobnih podataka treba voditi načelima iz GDPR-a. Jedno od načela je načelo „smanjenja količine podataka”, što znači da podaci moraju biti primjereni, relevantni i ograničeni na ono što je nužno u odnosu na svrhe u koje se obrađuju. Dakle, u konkretno slučaju je vjerojatno da se radi o prekomjernoj obradi podataka.

Vezano uz fotografiranje te javnu objavu fotografija na javnom događaju ističemo kako je u svakom pojedinom slučaju potrebno utvrditi postojanje pravnog temelja za određenu obradu osobnih podataka. U konkretnom slučaju pravni temelj bi mogao primjerice legitiman interes, privola, javni interes.

Što se tiče legitimnog interesa, navedena obrada bi se mogla smatrati legitimnim interesom poslovnog subjekta, osim kada su od tih interesa jači interesi ili temeljna prava i slobode ili temeljna prava i slobode ispitanika koji zahtijevaju zaštitu osobnih podataka, osobito ako je ispitanik dijete.

Dakle, GDPR ne onemogućava fotografiranje javnog događaja, međutim, navedeno je moguće samo uz uvjet da su pojedinci prethodno obaviješteni o samom fotografiranju kao i namjeri objave fotografija na primjerice društvenim mrežama, webu poslovnog subjekta ili  putem nekog medija. Dodatno pojašnjavamo kako je, o namjeri fotografiranja i objavi fotografija, pojedince moguće obavijestiti putem isticanja natpisa na vidljivom mjestu.

Kod obrade podataka temeljem legitimnog interesa potrebno provesti test razmjernosti kako bi se utvrdilo što u konkretnom slučaju preteže: legitiman interes poslovnog subjekta ili pravo na zaštitu osobnih podataka pojedinca. Ako poslovni subjekt ne bih mogao dokazati svoj legitiman interes tada bi se navedeni osobni podaci mogli obrađivati samo uz pribavljanje privole koja udovoljava svim zahtjevima iz GDPR-a.

Prilikom procjene poslovnog subjekta o tome je li legitimni interes jači od prava pojedinca, bitnu stavku čini, između ostaloga, i to je li na fotografiji istaknut pojedinac ili je u pitanju skupna, je li ju se jasno može identificirati te radi li se o osobi koja ima umanjenu razinu zaštite privatnosti (članak 7. i 8. Zakona o medijima NN 59/04, 84/11, 81/13).

U svakom slučaju, na obradu temeljem legitimnog interesa imate pravo na prigovor poslovnom subjektu, a na obradu temeljem privole imate pravo na povlačenje privole.

GDPR-om su zajamčena određena prava za svakog pojedinca, pa tako obrada Vaših podataka mora biti transparentna i svaki pojedinac ima pravo na informacije o svakoj obradi koja se vrši nad podacima pojedinca čime se iste informira između ostalog o tome tko obrađuje osobne podatke, zašto ih obrađuje, koliko dugo će ih pohraniti i slično, pritom koristeći jasan i jednostavan jezik lišen komplicirane stručne terminologije.

GDPR Vam daje pravo na pristup vlastitim podacima, čime u biti pojedinac može utvrditi jesu li podaci točni, što nas dovodi do sljedećeg važnog prava- prava na ispravak podataka.

Zamislimo samo kako bi nelagodno bilo da zbog pohranjenog netočnog podataka o adresi Vaše elektroničke pošte, drugi pojedinac dobije Vaš ginekološki nalaz ili da Vas banka ne može kontaktirati u slučaju pronalaska Vaše kreditne kartice jer je pohranila Vaš netočni telefonski broj? Ili situaciju da dobijete račun na svoje ime, ali s OIB-om druge osobe te da Vas se tereti za dug koji nije Vaš?

Osim situacija koje mogu uzrokovati neugodnosti, postoje i slučajevi kad nepoštivanje zakonskih propisa o zaštiti podataka građanima može uzrokovati ozbiljne probleme recimo kad građani dobiju račun na svoje ime, ali s OIB-om druge osobe te ih se tereti za dug koji nije njihov, ili  primjerice kad netko zloupotrijebi Vaše podatke za sklapanje pretplatničkog ugovora na daljinu.

 Također, važno je napomenuti da do ozbiljnih povreda zaštite osobnih podataka građana može doći ako organizacije ne primjenjuju odgovarajuće tehničke i organizacijske mjere zaštite osobnih podataka. Primjerice, u slučaju hakerskih napada ako osobni podaci nisu adekvatno zaštićeni mogu postati dostupni zlonamjernim trećim stranama koje će ih zloupotrijebiti (npr. brojevi kreditnih kartica, osobnih iskaznica, e-mail adrese, lozinke i sl).

GDPR Vam daje mogućnost da ‘budete zaboravljeni’. Primjerice, kad upišete svoje ime  prezime u internetsku tražilicu, u rezultatima pretraživanja pojavljuje se poveznica na članak od prije 15 godina u kojem ste lažno optuženi za krađu, a štoVam naravno uzrokuje probleme u poslovnom i privatnom životu. Ako niste javna osoba i vaš interes da se članak ukloni nadilazi javni interes na pristupi nformacijama, možete se obratiti voditelju obrade (npr. Google, Bing, Yahoo) sa zahtjevom za uklanjanje poveznice iz rezultata pretraživanja na internetsku stranicu na kojoj se nalazi novinski članak s Vašim osobnim podacima.

Pojedinci obradu mogu i privremeno ograničiti, a mogu zatražiti i pravo na prenosivost svojih podataka, primjerice prijenos podataka klijenta iz banke u banku, pod uvjetom tehničke izvedivosti.

U određenim slučajevima imate pravo prigovoriti obradi, primjerice ako ne želimo više primati promotivne letke nekog trgovačkog lanca putem e-maila. U tom slučaju često je dovoljno u elektronskoj poruci označiti unsubscribe, a daljnja obrada nakon tog trenutka postaje nezakonita.

Voditelji/izvršitelji obrade:

Prvenstveno dobro upoznajte tzv. strukovne propise koji uređuju djelatnost kojom se bavite. To će Vas riješiti mnogih nedoumica i glavobolja kao primjerice koliko dugo pohranjivati podatke, koje podatke smijete obrađivati i slično. Imajte na umu da ako nešto nije propisano zakonom, postoje i drugi pravni temelji za zakonitu obradu osobnih podataka, ako su primjerice obrade temeljene na ugovoru, ako se radi o službenoj ovlasti ili javnom interesu, životnom važnom interesu pojedinca, Vašim legitimnim interesima ili Vam je pojedinac dao privolu.

Budite transparentni. Upoznajte pojedince s obradama u Vašoj organizaciji i svim drugim informacijama na koje pojedinci imaju pravo, primjerice putem internih akata ili pružanjem slojevitih obavijesti o privatnosti na internetskoj stranici. Vodite računa o tome jeste li obavezni imati evidenciju aktivnosti obrade ili službenika za zaštitu podataka. 

Educirajte Vaše zaposlenike o važnosti zaštite osobnih podataka. Imenujte službenika za zaštitu podataka. Preporuka Agencije je da ga imenujete čak i ako niste u zakonskoj obvezi da ga morate imenovati. Imajte na umu da do velikog broja povrede osobnih podataka dolazi zbog ljudske pogreške. Provedite procjenu učinka na zaštitu podataka ako je potrebno.

Vodite računa o informacijskoj sigurnosti. Poduzmite odgovarajuće tehničke i organizacijske mjere kako biste zaštitili osobne podatke svojih korisnika/klijenata.

Povećanu pažnju posvetite posebnim kategorijama podataka, primjerice podacima o zdravlju, nacionalnosti, podatku o članstvu u sindikatu i slično.

Vodite računa o tome tko u Vašoj organizaciji ima pristup osobnim podacima, zaposlenici koji imaju pristup neka potpišu izjave o povjerljivosti. Sklopite ugovor s izvršiteljem obrade kojemu ste povjerili određene obrade osobnih podataka.